Mục lục:
Video: GDPR на русском. Основные принципы и права пользователей (Tháng Chín 2024)
Đối với nhiều công ty, đặc biệt là đối với nhiều doanh nghiệp vừa và nhỏ (SMB), vị trí thực sự của dữ liệu của họ có thể là một bí ẩn. Ví dụ, giả sử bạn đang chạy trên cụm máy chủ dựa trên đám mây ở khu vực Bắc Virginia thuộc Dịch vụ web Amazon (AWS). Điều đó có nghĩa là dữ liệu của bạn ở Bắc Virginia, phải không? Vâng, có, có lẽ. Nhưng hãy nói rằng bạn đang làm việc với các công ty hoặc cá nhân ở Châu Âu. Sau đó, dữ liệu về các thực thể có lẽ cũng nằm trong khu vực đó. Và trong một thời gian rất ngắn, đó có thể là một vấn đề.
Quan trọng hơn, GDPR sang một bên, có những quy định khác về luồng dữ liệu xuyên biên giới mà bạn cũng cần xem xét. Điều này là do dữ liệu của một công dân EU (hoặc một người sống ở EU không phải là công dân) đi qua một quốc gia khác trên đường có thể có vấn đề. Điều này có nghĩa là bạn cần biết nhiều hơn là nơi bạn đang lưu trữ: bạn cần biết nơi nó đi trên đường giữa bạn và bất cứ nơi nào khách hàng hoặc nhân viên của bạn xảy ra.
Tôi sẽ không đi vào các hình phạt hà khắc có thể chờ đợi bạn nếu bạn vi phạm các quy tắc của GDPR vì chúng đã được nêu trong cột này và ở nhiều nơi khác trong quá khứ. Vì vậy, hãy nói rằng, bạn không muốn những hình phạt này được áp dụng cho bạn.
7 con đường để tuân thủ GDPR
Nhưng miễn là bạn thực hiện một số bước phòng ngừa, bạn không cần phải lo lắng về bất kỳ hình phạt nào. Có một số điều khá dễ dàng bạn có thể làm để tránh các vấn đề. Dưới đây là bảy trong số đó, theo thứ tự từ dễ nhất đến khó nhất để làm.
Đừng thu thập thông tin cá nhân từ những người ở EU. Nếu trang web của bạn có khả năng ai đó điền thông tin cá nhân (ví dụ như tên và địa chỉ của họ) trong quá trình đăng ký trên trang web của bạn, thì bạn sẽ không chấp nhận đăng ký từ EU hoặc hoàn toàn không chấp nhận chúng.
Nếu bạn phải chấp nhận thông tin cá nhân từ những người ở EU (có lẽ vì bạn có trang web thương mại điện tử bán đồ ở đó), thì hãy lưu trữ dữ liệu trên máy chủ đám mây nằm trong biên giới EU. Thông thường, đây chỉ đơn giản là vấn đề định cấu hình cụm máy chủ Cơ sở hạ tầng (IaaS) bằng cách sử dụng trang web châu Âu của nhà cung cấp đám mây hiện tại của bạn. Ngoài ra, tài trợ cho một cam kết ngắn với hầu hết các dịch vụ chuyên nghiệp của các nhà cung cấp đám mây sẽ thấy họ đảm nhận nhiệm vụ này cho bạn. Không chỉ vậy, nhưng nếu bạn đủ may mắn để tham gia với các chuyên gia tư vấn tại Châu Âu của họ, thì có lẽ bạn cũng sẽ được kiểm tra chứng nhận và tài liệu phù hợp.
Mặc dù đôi khi bạn có thể di chuyển dữ liệu sang Mỹ hoặc một trong một vài quốc gia khác ở châu Âu, vẫn có những giới hạn. Ở Hoa Kỳ, họ dựa trên Quyền riêng tư, là một thỏa thuận giữa Hoa Kỳ, EU và Thụy Sĩ quy định các yêu cầu bảo vệ đối với dữ liệu chảy giữa Hoa Kỳ và các quốc gia đó. Có lẽ một ý tưởng tốt cho tổ chức của bạn là xác nhận rằng nó đáp ứng các yêu cầu bảo vệ dữ liệu của GDPR, nhưng luật pháp của EU là việc thu thập và lưu giữ dữ liệu chỉ giới hạn ở những gì được yêu cầu để thực hiện nhiệm vụ trước mắt. Điều đó có nghĩa là có ai đó am hiểu về chi tiết GDPR theo dõi các luồng dữ liệu khác nhau của bạn. Mặc dù tẻ nhạt, đây là cách duy nhất để chắc chắn rằng bạn tuân thủ.
Nếu bạn phải xử lý dữ liệu, cho dù đó là ở EU hay ở Hoa Kỳ, thì bạn phải đáp ứng các yêu cầu cụ thể, bao gồm cả việc có ai đó được đặt tên là Nhân viên bảo vệ dữ liệu (DPO). Bạn cũng sẽ phải sắp xếp một quy trình làm việc dành riêng để xóa dữ liệu khi không còn cần thiết và điều này có thể trở nên đặc biệt phức tạp vì một phần của việc này là đảm bảo bạn có thể xóa thông tin cá nhân của bất kỳ ai yêu cầu bị lãng quên. Thành thật mà nói, đó là một lý do khác để suy nghĩ hai lần về việc lưu trữ thông tin về những người từ EU.
Nếu bạn thực sự phải kinh doanh ở EU, thì có lẽ bạn nên nghĩ đến việc có sự hiện diện ở đó thay vì chỉ là một tài khoản đám mây với một máy chủ hoặc dịch vụ chia sẻ tệp cấp doanh nghiệp ở châu Âu. Bạn có thể muốn tham gia vào một công ty để giải quyết công việc của mình ở Châu Âu hoặc bạn có thể muốn mở một văn phòng, vì các chuyên gia và chuyên gia tư vấn GDPR sẽ dễ dàng hơn trong lĩnh vực đó, không đề cập đến việc đơn giản là kinh doanh châu Âu trong giai đoạn hậu GDPR thế giới sẽ dễ dàng hơn ở châu Âu hơn bất cứ nơi nào khác.
Nếu bạn mở một văn phòng, thì nhân viên của bạn ở Châu Âu cũng cần xử lý thông tin của họ theo quy tắc GDPR. Mặc dù bạn có thể lưu giữ hồ sơ nhân viên ở Mỹ, bạn sẽ cần tuân thủ các quy tắc, bao gồm không nắm giữ bất kỳ thông tin nào không cần thiết cho nhân viên thực hiện công việc của mình. Bạn cũng cần phải xin phép nhân viên để lưu trữ thông tin cá nhân (có lẽ anh ấy hoặc cô ấy có thể được trả tiền), nhưng DPO của bạn sẽ cần phải đánh giá tất cả dữ liệu được lưu trữ để đảm bảo đó là điều bắt buộc. Ví dụ: bạn không thể yêu cầu ảnh của họ trừ khi có lý do, và sau đó bạn phải đưa ra lời biện minh rất cụ thể về cách sử dụng ảnh. Và nhân viên phải được phép từ chối mà không có hậu quả.
Bây giờ là phần phức tạp: Bộ phận CNTT phải có thể xác định vị trí của dữ liệu được bảo vệ mọi lúc, nơi nó đi trong khi bạn đang sử dụng nó, nơi nó được lưu trữ và cách bảo vệ. Chỉ cần nói rằng trên máy chủ đám mây của bạn ở Ireland là không đủ; mọi người sẽ phải biết nó đến máy chủ đó như thế nào, điều gì xảy ra với nó khi nó được sử dụng và cách nó được bảo vệ chi tiết. Đặt cược tốt nhất của bạn là thuê các chuyên gia để làm điều này cho bạn, ít nhất là các ánh xạ ban đầu và lựa chọn các công cụ quản lý sẽ duy trì thông tin đó. Một DPO và nhân viên hỗ trợ cuối cùng sẽ được yêu cầu, nhưng trong ngắn hạn, hầu hết các doanh nghiệp sẽ làm tốt để ít nhất là tham gia vào một nhà tư vấn có chuyên môn có thể kiểm chứng.
Dành cho những người trì hoãn
Tất nhiên, không đặt quá nhiều điểm vào nó, nhưng bạn nên làm tất cả những điều này rồi. Tuy nhiên, thực tế của kinh doanh hàng ngày là những gì họ đang có, rất có thể là nhiều bạn đọc điều này chưa. Vì vậy, bây giờ ngày về cơ bản là theo bạn, hãy bắt đầu bằng cách ít nhất là biết dữ liệu của bạn ở đâu. Và nếu đó không phải là nơi cần đến, thì hãy xem điểm số 1 ở trên cho đến khi bạn tìm ra nó.
Trong khi bạn đang làm điều này, bạn nên đăng một mẫu đơn đồng ý trước khi bất kỳ ai cũng có thể truy cập vào phần trang web của bạn yêu cầu thông tin cá nhân. Sagara Gunathunge, Phó chủ tịch dự án và Giám đốc dự án Dịch vụ web Apache tại WSO2, cung cấp một số ví dụ có sẵn miễn phí về các mẫu đơn đồng ý cho nhiều mục đích khác nhau. Nhưng hãy nhớ rằng bạn phải theo dõi xem ai đã điền vào các biểu mẫu đó để bạn có thể hiển thị một liên kết trực tiếp đến thông tin bạn đã thu thập và liệu nó được lưu trữ ở EU hay ở nơi khác. Hãy chắc chắn làm cho nó được diễn đạt rõ ràng, chính xác và nói chính xác những gì đang xảy ra với thông tin bạn đang thu thập. Vâng, đó là một cơn đau ở cổ. Nhưng lựa chọn khác là tùy chọn 1.
